Ini ialah arahan dacstoken yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
dacstoken - mentadbir kata laluan satu kali berasaskan cincang
SINOPSIS
dacstoken [dacsoptions[1]] [-semua] [-pangkalan num] [-kaunter num] [-digit num]
[-lumpuhkan | -membolehkan] [-tetingkap hotp num] [-inkeys jenis barang]
[[-kunci keyval] | [-kunci-fail nama fail] | [-key-prompt]] [-mod mod otp]
[-outkeys jenis barang]
[[-Pin pinval] | [-pin-fail nama fail] | [-pin-prompt]] [-pin-kekangan str]
[-rnd] [-benih str] [-bersiri str] [-totp-delta num] [-totp-hanyut nwindows]
[-totp-hash alga]
[-totp-langkah masa secs] [-vfs vfs_uri] [op-spec] [nama pengguna]
DESCRIPTION
Program ini adalah sebahagian daripada DACS suite.
. dacstoken pentadbir utiliti DACS akaun yang dikaitkan dengan kata laluan sekali sahaja (OTP)
peranti penjanaan (token) atau pelanggan berasaskan perisian. Menggunakan pilihan baris arahan, ia juga
mengira nilai OTP; parameter akaun token boleh ditindih, tetapi akaun tidak sekata
diperlukan.
Pengesahan dua faktor yang kukuh boleh disediakan apabila dacs_authenticate[2] dikonfigurasikan
untuk menggunakan local_token_authenticate[3] modul pengesahan atau bila dacstoken digunakan sebagai
program kendiri untuk mengesahkan kata laluan. Kedua-dua mod kata laluan satu masa berasaskan HMAC
(HOTP), berdasarkan kaunter acara dan ditentukan oleh RFC 4226[4], dan berasaskan masa
mod kata laluan sekali (TOTP), seperti yang ditentukan oleh Terkini IETF Internet-Draf[5] cadangan,
disokong. Tambahan operasi mod[6] dipanggil OCRA (KELUARGA Cabaran-Respon
Algoritma), yang diterangkan dalam Draf Internet IETF, belum lagi disokong sepenuhnya.
Nota
Versi dacstoken menggabungkan banyak perubahan yang tidak serasi ke belakang
dengan keluaran 1.4.24a dan lebih awal. Beberapa bendera baris arahan berfungsi secara berbeza, dan
format fail akaun telah berubah. Jika anda telah menggunakan arahan ini sebelum ini
keluaran, sila buat salinan sandaran fail akaun token anda dan semak manual ini
halaman dengan teliti sebelum meneruskan (perhatikan -menukar bendera[7] khususnya).
penting
Tiada perisian yang dibekalkan vendor diperlukan oleh dacstoken untuk membekalkan fungsinya. The
peranti yang disokong pada masa ini tidak memerlukan sebarang pendaftaran atau interaksi konfigurasi
dengan vendor dan dacstoken tidak tidak berinteraksi bersama vendor pelayan or penggunaan mana-mana
proprietari perisian. Perisian yang dibekalkan vendor mungkin diperlukan untuk melaksanakannya
permulaan atau konfigurasi untuk peranti token lain, walau bagaimanapun, dan dacstoken tidak
tidak memberikan sokongan sedemikian kepada mereka.
Setiap peranti token biasanya sepadan dengan tepat satu akaun yang diuruskan oleh
dacstoken, walaupun sesetengah vendor menghasilkan token yang boleh menyokong berbilang akaun.
Untuk meringkaskan, utiliti ini:
· mencipta dan mentadbir DACS akaun yang dikaitkan dengan berasaskan kaunter dan berasaskan masa
kata laluan sekali sahaja
· menyediakan fungsi pengesahan dan ujian
· menyediakan keupayaan pengesahan baris arahan
Keselamatan
Hanya yang DACS pentadbir seharusnya dapat menjalankan program ini dengan jayanya daripada
baris arahan. Kerana DACS kunci dan fail konfigurasi, termasuk fail yang digunakan untuk
akaun kedai, mesti terhad kepada pentadbir, ini biasanya akan menjadi
kes, tetapi pentadbir yang berhati-hati akan menetapkan kebenaran fail untuk menafikan akses kepada semua
pengguna lain.
Nota
. dacs_token(8)[8] perkhidmatan web menyediakan pengguna dengan layan diri yang terhad
fungsi untuk menetapkan atau menetapkan semula PIN akaun mereka dan menyegerakkan token mereka. Ia juga
mempunyai mod tunjuk cara untuk memudahkan ujian dan penilaian.
PIN (Akaun kata laluan)
A dacstoken akaun secara pilihan boleh mempunyai PIN (iaitu, kata laluan) yang dikaitkan dengannya. Kepada
mengesahkan terhadap akaun sedemikian, pengguna mesti memberikan kata laluan sekali yang dihasilkan
dengan tandanya and PIN. The TOKEN_REQUIRES_PIN[9] arahan konfigurasi menentukan
sama ada PIN mesti diberikan semasa membuat atau mengimport akaun; ia tidak terpakai dalam
sempena -delpin bendera, kerana hanya pentadbir yang boleh melakukan
fungsi itu.
Cincang PIN disimpan dalam rekod akaun dan bukannya PIN itu sendiri. Sama
kaedah yang digunakan oleh dacspasswd(1)[10] dan dacs_passwd(8)[11] digunakan, dan bergantung pada
PASSWORD_DIGEST[12] dan PASSWORD_SALT_PREFIX[13] arahan berkuat kuasa. Jika
PASSWORD_DIGEST[12] dikonfigurasikan, algoritma itu digunakan, jika tidak, masa kompilasi
lalai (SHA1) digunakan. Jika pengguna terlupa PIN, yang lama tidak boleh dipulihkan
mesti sama ada dipadamkan atau yang baharu mesti ditetapkan.
Sesetengah peranti token mempunyai keupayaan PIN terbina padanya. Pengguna mesti memasukkan PIN ke dalam
peranti sebelum peranti akan mengeluarkan kata laluan sekali sahaja. "PIN peranti" ini ialah
berbeza sepenuhnya daripada PIN akaun yang diuruskan oleh dacstoken, dan manual ini ialah
hanya mementingkan dacstoken PIN. PIN peranti hendaklah sentiasa digunakan apabila boleh;
yang dacstoken PIN amat disyorkan dan diperlukan untuk pengesahan dua faktor
(melainkan faktor pengesahan tambahan digunakan dalam beberapa cara lain).
Oleh kerana hanya pentadbir dibenarkan menjalankan arahan ini, tiada sekatan dikenakan
mengenai panjang atau kualiti PIN yang dibekalkan oleh pentadbir; mesej amaran
akan dipancarkan, bagaimanapun, jika kata laluan dianggap lemah seperti yang ditentukan oleh
PASSWORD_CONSTRAINTS[14] arahan.
Satu kali Kata laluan
Kedua-dua jenis peranti kata laluan sekali mengira nilai kata laluan dengan menggunakan selamat
algoritma hash berkunci (RFC 2104[15], FIPS 198[16]). Dalam kaedah berasaskan balas, peranti
dan pelayan berkongsi kunci rahsia dan nilai balas yang dicincang untuk menghasilkan berangka
nilai yang dipaparkan dalam radix tertentu dengan bilangan digit tertentu. Berjaya
pengesahan memerlukan peranti dan pelayan untuk mengira kata laluan yang sepadan. Setiap kali
peranti menghasilkan kata laluan, ia menambah pembilangnya. Apabila pelayan menerima padanan
kata laluan, ia menambah pembilangnya. Sebab boleh jadi dua kaunter tu
tidak disegerakkan, algoritma pemadanan pelayan biasanya akan membenarkan kata laluan pelanggan
jatuh dalam "tetingkap" nilai balas. Kaedah berasaskan masa adalah serupa, yang utama
perbezaan ialah masa Unix semasa (seperti yang dikembalikan oleh masa(3)[17], sebagai contoh) ialah
digunakan untuk mewujudkan "tetingkap langkah masa" yang berfungsi sebagai nilai pembilang dalam pengiraan
cincang selamat. Kerana jam masa nyata pada peranti dan pelayan mungkin tidak
disegerakkan dengan secukupnya, algoritma pemadanan pelayan juga mesti membenarkan klien
kata laluan untuk jatuh dalam beberapa tetingkap langkah masa untuk peranti ini.
Keselamatan
Token boleh diberikan kunci rahsia kekal (kadangkala dipanggil benih OTP) olehnya
pengilang atau kunci mungkin boleh diprogramkan. Kunci rahsia ini digunakan oleh token
prosedur penjanaan kata laluan dan adalah penting bahawa ia dirahsiakan. Jika token
tidak boleh diprogramkan, kunci diperoleh daripada vendor (untuk token HOTP, biasanya
dengan memberikan nombor siri peranti dan mana-mana tiga kata laluan berturut-turut). Satu rekod
setiap pemetaan daripada nombor siri kepada kunci rahsia hendaklah disimpan di lokasi yang selamat.
Jika kunci rahsia boleh diprogramkan, kerana ia mungkin dengan klien perisian, ia adalah
dikehendaki sekurang-kurangnya 128 bit dalam panjang; sekurang-kurangnya 160 bit disyorkan. The
kunci diwakili oleh rentetan heksadesimal panjang 16 (atau lebih) aksara. Kunci sepatutnya
diperoleh daripada sumber bit rawak yang berkualiti kriptografi. Sesetengah pelanggan mungkin
mampu menjana kunci yang sesuai, tetapi anda boleh menggunakan dacsexpr(1)[dua]:
% dacsexpr -e "rawak(rentetan, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Petua
Token boleh digunakan untuk tujuan pengesahan selain daripada log masuk komputer. Untuk
contohnya, dengan memberikan nombor akaun, PIN dan nilai token, pelanggan boleh dengan cepat
disahkan melalui telefon, mengurangkan atau menghapuskan keperluan untuk mahal dan
soalan keselamatan yang memakan masa.
Peranti dan aplikasi kata laluan satu kali mempunyai parameter operasi berikut.
Parameter ini menentukan urutan kata laluan yang dijana. Beberapa operasi
parameter boleh ditetapkan (mengikut piawaian yang berkaitan atau disebabkan oleh pelaksanaan), manakala
yang lain mungkin sebahagian atau sepenuhnya boleh dikonfigurasikan oleh pengguna. Sila rujuk kepada
rujukan dan dokumentasi pengilang untuk butiran.
asas
Radix di mana kata laluan dipaparkan.
menentang
Untuk mod HOTP sahaja, nilai pembilang semasa.
digit
Bilangan digit dalam setiap kata laluan sekali.
utama
Kunci rahsia (benih OTP).
nombor siri
Pengecam atau nama unik untuk peranti.
saiz langkah masa
Untuk mod TOTP sahaja, lebar setiap selang masa, dalam saat. Kata laluan yang sama
akan dijana dalam selang waktu tertentu; iaitu, ini ialah "seumur hidup" atau kesahihan
tempoh setiap kata laluan TOTP.
Sebagai tambahan kepada parameter ini, dacstoken menggunakan beberapa setiap akaun (iaitu, setiap peranti)
parameter:
tetingkap terima
Apabila mengesahkan kata laluan HOTP, bilangan maksimum kata laluan yang perlu dipertimbangkan selepas
kata laluan yang dijangkakan.
hanyut
Untuk mod TOTP sahaja, bilangan saat untuk melaraskan jam pelayan
ke hadapan atau ke belakang untuk menyegerakkannya dengan lebih baik dengan peranti. Ini sudah biasa
pampasan untuk token atau perisian pelanggan yang jamnya tidak disegerakkan dengan baik
kepunyaan pelayan.
drift-window
Untuk mod TOTP sahaja, tetapi serupa dengan tetingkap terima, bilangan maksimum
selang (setiap saiz langkah masa) untuk mencari ke hadapan dan ke belakang semasa mengesahkan
terhadap kata laluan yang diberikan.
sync-otps
Untuk mod HOTP sahaja, bilangan kata laluan satu kali berturut-turut yang diperlukan untuk
menyegerakkan akaun dengan peranti.
nama pengguna
Nama DACS akaun terikat pada peranti.
Pengesahan berdasarkan peranti kata laluan sekali mempunyai kelebihan berikut:
· Setiap kali pengguna mengesahkan, kata laluan yang berbeza akan dihasilkan (dengan high
kebarangkalian); oleh itu pengguna tidak boleh mencatatkan "kata laluan" kerana kata laluannya adalah
sentiasa berubah; pengguna tidak boleh melupakan kata laluan mereka;
· Setelah digunakan, kata laluan mod HOTP serta-merta "digunakan" dan tidak mungkin digunakan
sekali lagi untuk masa yang lama; dengan parameter konfigurasi yang sesuai, kata laluan mod TOTP
"tamat tempoh" secara automatik dalam selang masa yang agak singkat dan tidak mungkin berlaku
digunakan semula untuk masa yang lama;
· Jika tiada pembetulan untuk drift jam diperlukan, akaun mod TOTP boleh mempunyai baca sahaja
operasi;
· Oleh kerana kata laluan tidak mungkin menjadi nombor atau rentetan yang mudah diteka, ia sepatutnya
menjadi lebih kuat daripada kebanyakan kata laluan yang dipilih pengguna;
· Token HOTP boleh menjadi asas kepada kaedah pengesahan bersama ("dua arah"); yang
pelayan menunjukkan kepada pengguna kata laluan tokennya yang seterusnya untuk mengesahkan identitinya (dengan kedua-duanya
pihak memajukan kaunter mereka), kemudian pelanggan menunjukkan kepada pelayan kata laluan seterusnya
untuk mengesahkan identitinya;
· Sekiranya penghidu kunci dipasang pada komputer pengguna, kata laluan yang dihidu tidak akan dipasang
melakukan apa-apa kebaikan kepada penyerang melainkan a man-in-the-middle menyerang[19] adalah mungkin; diberi N
kata laluan berturut-turut masih sangat sukar untuk mengira kata laluan N + 1 tanpa
mengetahui kunci rahsia;
· Lebih sukar bagi pengguna untuk berkongsi akaun (walaupun kadangkala pengguna mungkin
melihat ini sebagai satu kesulitan);
· Sekiranya dacstoken PIN diberikan kepada akaun dan penyerang memperoleh akaun tersebut
token, masih sukar bagi penyerang untuk mengesahkan tanpa mengetahui PIN;
· Cara cepat dan serta-merta berkesan untuk melumpuhkan akaun adalah dengan hanya merampas a
token perkakasan (cth, jika pekerja dipecat), walaupun akaun boleh dilumpuhkan oleh
program ini atau menggunakan pembatalan senarai[20];
· Dalam kes klien perisian yang berjalan pada peranti mudah alih, seperti telefon atau PDA,
pengguna sudah membawa peranti itu bersama mereka; pelanggan percuma tersedia, jadi ada
mungkin tiada kos tambahan (perhatikan bahawa peranti mudah alih mungkin tidak menawarkan yang sama
rintangan gangguan, ketahanan, kerahsiaan kunci, ketepatan jam, dll. token perkakasan).
Peranti kata laluan sekali sahaja mempunyai potensi kelemahan berikut:
· Terdapat perbelanjaan sekali untuk token perkakasan (bergantung pada jumlah pembelian,
anda boleh mengharapkan untuk membayar $10-$100 USD setiap satu), dan terdapat kemungkinan untuk membayar
menggantikan token yang hilang atau rosak, atau bateri token (sesetengah unit mempunyai a
bateri tidak boleh diganti, menjadikannya boleh guna selepas beberapa tahun);
· Konfigurasi awal agak sukar berbanding dengan pengesahan lain
kaedah, dan pengguna yang tidak biasa dengan peranti itu perlu diarahkan pada mereka
gunakan;
· Walaupun ia biasanya agak kecil (cth, 5cm x 2cm x 1cm) dan boleh dilekatkan pada
rantai kunci atau lanyard, atau disimpan dalam dompet, pengguna mungkin tersentak kerana terpaksa membawa token
di sekeliling mereka;
· Pengguna boleh lupa untuk membawa token mereka atau kehilangan token;
· Peranti mudah alih (dengan klien perisian) mungkin menjadi sasaran kecurian, lebih-lebih lagi
jadi daripada token perkakasan (oleh itu kepentingan tambahan PIN untuk peranti ini);
· Tidak seperti token perkakasan di mana kunci dibakar menjadi tidak boleh diakses, kalis gangguan
memori, kunci yang dikonfigurasikan ke dalam klien perisian mungkin boleh dibaca olehnya
pemilik, menjadikan perkongsian akaun mungkin;
· Memasukkan nilai benih 40 aksara atau lebih panjang ke dalam peranti mudah alih boleh mengecewakan
dan terdedah kepada kesilapan;
· Sebaik sahaja peranti TOTP menjana kata laluan, kata laluan baharu tidak boleh dijana sehingga
tetingkap langkah seterusnya, memerlukan pengguna menunggu 30 (atau mungkin 60) saat (cth,
jika ralat kemasukan dibuat);
· Sesetengah peranti sukar dibaca dalam keadaan cahaya malap; pengguna presbiopik dan mereka
dengan gangguan penglihatan mungkin mengalami kesukaran membaca paparan.
Akaun
Akaun yang diuruskan oleh dacstoken adalah berasingan sepenuhnya daripada akaun yang digunakan oleh
local_passwd_authenticate[21] atau mana-mana yang lain DACS modul pengesahan.
Akaun untuk peranti HOTP dan TOTP sama ada boleh digabungkan atau disimpan berasingan. Jika secara maya
jenis item filestore auth_hotp_token ditakrifkan, ia hanya digunakan untuk akaun yang berkaitan
dengan token HOTP. Begitu juga, jika item kedai fail maya jenis auth_totp_token ialah
ditakrifkan, ia hanya digunakan untuk akaun yang dikaitkan dengan token TOTP. Jika mana-mana jenis item adalah
tidak ditakrifkan, akaun diakses melalui DACS stor fail maya menggunakan jenis item
auth_token. Diandaikan bahawa kebenaran fail pada pangkalan data akaun adalah sedemikian rupa sehingga semua
akses terhad kepada pentadbir dan local_token_authenticate.
Jika akaun untuk kedua-dua jenis peranti adalah digabungkan, kerana setiap nama pengguna untuk
kaedah pengesahan mestilah unik, jika seseorang individu mempunyai kedua-dua jenis token mereka mesti
diberikan nama pengguna yang berbeza. Jadi, sebagai contoh, jika Auggie mempunyai satu token HOTP dan satu
Token TOTP, yang pertama mungkin sepadan dengan nama pengguna auggie-hotp dan yang kedua
auggie-totp; borang log masuk mungkin termasuk input mod peranti yang membolehkan Auggie
untuk hanya menaip "auggie" dalam medan nama pengguna dan JavaScript untuk menambahkan secara automatik
akhiran yang sesuai berdasarkan mod peranti pilih. Kelemahan yang jelas ini
konfigurasi ialah ia menghasilkan dua yang berbeza DACS identiti untuk individu yang sama;
ini perlu diingati jika peraturan kawalan akses diperlukan untuk mengenal pasti Auggie
secara eksplisit. Jika kedua-dua token harus dipetakan kepada yang sama DACS identiti, klausa Auth boleh
tanggalkan akhiran selepas pengesahan berjaya, tetapi pentadbir akan melakukannya
perlu berhati-hati dengan kes dua Auggies yang berbeza, masing-masing menggunakan jenis peranti yang berbeza.
Mengkonfigurasi kedua-dua jenis item auth_hotp_token dan auth_totp_token (atau hanya salah satu daripadanya
dan auth_token) menyimpan akaun berasingan dan membenarkan nama pengguna yang sama digunakan untuk
kedua-dua jenis peranti. Oleh itu, Auggie boleh mempunyai rekod akaun dengan perkara yang sama
nama pengguna untuk kedua-dua jenis peranti. Pendekatan ini memerlukan mod peranti ditentukan
apabila operasi diminta supaya jenis item yang betul boleh digunakan; ini bermakna bahawa
pengguna mesti tahu jenis peranti yang mereka gunakan (mungkin dengan menampal label padanya).
Rujuk butiran penting berkenaan DACS identiti[22].
. -vfs digunakan untuk mengkonfigurasi atau mengkonfigurasi semula jenis item auth_token.
Hanya kunci yang memenuhi keperluan panjang kunci minimum (16 bait) boleh disimpan dengan
maklumat akaun (cth, dengan -set or -import). Dalam konteks lain, keperluannya ialah
tidak dikuatkuasakan.
Kunci rahsia disulitkan oleh dacstoken apabila ia ditulis ke fail akaun. The
jenis item kedai fail maya auth_token_keys mengenal pasti kunci penyulitan untuk dacstoken
untuk menggunakan; yang -inkeys and -outkeys bendera menentukan alternatif (lihat dacskey(1)[23]). Sekiranya
kunci penyulitan hilang, kunci rahsia hampir tidak dapat dipulihkan.
penting
Jika penyerang menemui kunci rahsia, menjana kata laluan yang boleh digunakan tanpa memilikinya
token tidak akan sukar. Untuk sekurang-kurangnya beberapa token perkakasan, kunci itu dibakar
masuk ke dalam peranti dan tidak boleh ditukar; dalam kes ini, jika kunci bocor peranti
patut dimusnahkan. Jika token hilang, akaun yang sepadan harus dilumpuhkan.
Sekiranya penyerang menjumpai token yang hilang atau menemui kunci rahsia, mempunyai token yang kuat
PIN yang dikaitkan dengan akaun akan menyukarkan penyerang untuk memperolehnya
akses.
penting
· Kaedah pengesahan ini telah diuji terhadap produk OTP berikut:
· Authenex Kunci 3600[24] token perkakasan kata laluan satu kali (HOTP);
· Orang Feitian Technologies[25] OTP C100 dan OTP C200 perkakasan kata laluan sekali
token, disediakan oleh HyperSecu Maklumat Systems[26]; dan
· KELUARGA Token[27] aplikasi perisian oleh Archie Cobbs, yang melaksanakan kedua-duanya
HOTP dan TOTP pada iPod Sentuh, iPhone and iPad[28].
· Feitian Technologies iOATH Lite[29] Aplikasi perisian HOTP untuk iPod
Sentuh, iPhone dan iPad.
Pengeluar lain yang berminat untuk mendapatkan produk mereka disokong oleh DACS adalah
dialu-alukan untuk menghubungi Dss.
· photo[30]: Feitian OTP C200, iPod Touch dengan apl Token OATH, Authenex A-Key
3600 (mengikut arah jam dari kiri atas)
· Walaupun pelaksanaan ini harus berfungsi dengan produk yang serupa dan selaras sahaja
produk ini disokong secara rasmi oleh DACS.
· Token perkakasan boleh dibeli terus daripada vendor.
· Sebarang masalah dengan menggunakan token untuk mengesahkan melalui DACS bukan
tanggungjawab vendor token.
Mengimport and Mengeksport OTP Akaun
Perihalan akaun dan tokennya boleh dimuatkan atau dibuang (rujuk -import
and -eksport bendera). Ini memudahkan peruntukan pukal, sandaran dan mudah alih. The
maklumat akaun ditulis dalam format XML yang ringkas dan khusus aplikasi (hampir).
Format yang difahami oleh dacstoken terdiri daripada elemen akar ("otp_tokens"), diikuti dengan
sifar atau lebih elemen "otp_token", satu setiap baris, setiap satu dengan yang diperlukan dan pilihan
atribut (diterangkan di bawah). Perisytiharan XML mesti ditinggalkan. Ruang putih terkemuka dan
baris kosong diabaikan, begitu juga komen XML satu baris. Selain itu, baris yang mempunyai "#"
kerana aksara bukan ruang putih pertama diabaikan. Atribut pilihan yang tidak
hadir diberikan nilai lalai. Algoritma ringkasan lalai ialah SHA1. Atribut pendek
nama digunakan untuk menjimatkan ruang. Atribut yang tidak dikenali, dan atribut yang tidak berkaitan dengan
mod peranti, diabaikan. Aksara petikan tunggal atau berganda (atau kedua-duanya) dalam atribut XML
nilai mesti digantikan dengan rujukan entiti yang sepadan ("'" dan """,
masing-masing), begitu juga dengan aksara "<" (kurang daripada) dan "&" (ampersand). A ">" (lebih besar
than) aksara secara pilihan boleh digantikan dengan urutan ">", tetapi tiada entiti lain
rujukan diiktiraf.
Atribut yang diiktiraf ialah:
· b:
asas
-- radix untuk nilai OTP
[Pilihan:
10 (lalai),
16, Atau 32]
· c:
menentang
-- nilai pembilang semasa untuk HOTP, dalam hex jika didahului
dengan "0x" (atau "0X"), perpuluhan sebaliknya
[Pilihan:
lalai adalah 0]
· d:
OTP peranti mod
-- "c" (untuk HOTP)
atau "t" (untuk TOTP)
[Dikehendaki]
· dn:
digest-nama
-- salah satu Algoritma Hash Selamat
[Pilihan:
SHA1 (lalai),
SHA224, SHA256,
SHA384, SHA512]
· dr:
jam-hanyut
-- pelarasan jam, dalam saat, untuk TOTP
[Pilihan]
· ek:
kunci yang disulitkan
-- kunci rahsia yang disulitkan, dikodkan asas-64
[Diperlukan:
Rekod akaun OTP sahaja]
· en:
status-didayakan
-- 1 untuk didayakan,
0 untuk orang kurang upaya
[Dikehendaki]
· k:
kunci teks biasa
-- kunci rahsia yang tidak disulitkan
[Dikehendaki]
· lu:
kemaskini terakhir
-- Masa Unix kemas kini rekod terakhir
[Pilihan: lalai ialah masa semasa]
· nd:
digit
-- bilangan digit untuk nilai OTP
[Pilihan:
lalai adalah 6 untuk HOTP,
8 untuk TOTP]
· p:
PIN teks biasa
-- nilai PIN teks biasa untuk akaun
[Diperlukan:
melainkan ph ada,
untuk import sahaja]
· ph:
PIN cincang
-- nilai PIN cincang untuk akaun
[Pilihan:
dijana oleh dacstoken
untuk fail akaun eksport dan OTP sahaja]
· s:
nombor siri
-- rentetan pengecam unik untuk peranti
[Dikehendaki]
· ts:
langkah masa
-- nilai langkah masa, dalam saat, untuk TOTP
[Pilihan:
lalai adalah 30]
· anda:
nama pengguna
-- yang sah DACS nama pengguna yang dikaitkan dengan akaun ini
[Dikehendaki]
Contoh berikut menerangkan dua akaun yang mungkin dibuat menggunakan -import bendera:
Keselamatan
Oleh kerana rekod yang diimport termasuk kunci rahsia yang tidak disulitkan untuk peranti OTP,
fail yang dieksport hendaklah disimpan disulitkan (cth, menggunakan OpenSSL) atau sekurang-kurangnya mempunyai
kebenaran fail yang sesuai.
Nota
Format standard untuk peruntukan peranti OTP sedang dibangunkan. Format ini mungkin
difahami oleh versi masa hadapan dacstoken, atau utiliti penukaran boleh ditulis.
Format standard mungkin jauh lebih kompleks daripada format DACS format.
PILIHAN
Sebagai tambahan kepada standard dacsoptions[1], senarai panjang bendera baris arahan adalah
dikenali. Apabila a nama pengguna diberikan, nilai lalai yang dikaitkan dengan akaun itu ialah
digunakan, sebaliknya disyorkan atau lalai khusus pelaksanaan digunakan. lalai ini
nilai biasanya boleh ditindih pada baris arahan. Sesetengah bendera hanya dibenarkan dengan a
mod token tertentu (cth, -kaunter, -totp-tunjukkan) dan penampilan mereka membayangkan mod itu,
membuat -mod bendera tidak perlu; bendera lain adalah mod bebas (cth, -hapuskan,
-membolehkan). Ia adalah ralat untuk menggunakan gabungan bendera yang tidak serasi. Bendera yang
tidak bermakna dengan operasi yang dipilih diabaikan, walaupun ia masih membayangkan mod.
Nilai heksadesimal adalah tidak peka huruf besar-besaran. Jika nilai pembilang diperlukan tetapi tidak ditentukan
(cth, semasa membuat akaun), nilai pembilang awal sifar digunakan.
. op-spec menentukan operasi yang akan dilakukan, bersama-sama dengan sifar atau lebih perubahan
bendera. Jika op-spec hilang, iaitu - senarai operasi dilakukan. An op-spec adalah salah satu daripada
Berikut:
-auth otp-nilai
Bendera ini seperti -sahkan[31], kecuali:
· A nama pengguna diperlukan, dari mana semua parameter diperolehi (seperti kunci);
· jika akaun mempunyai PIN, ia mesti disediakan;
· jika akaun adalah untuk token HOTP, kaunter akan dikemas kini jika pengesahan
berjaya.
Status keluar sifar menunjukkan pengesahan yang berjaya, manakala sebarang nilai lain
bermakna pengesahan gagal.
-menukar nama fail
Muatkan fail akaun token format lama (sebelum mengeluarkan 1.4.25) daripada nama fail ("-"
bermaksud membaca daripada stdin), tukarkannya kepada format yang lebih baharu, dan tulis kepada stdout (as
by -eksport). Bendera ini ditamatkan dan keupayaan ini akan dialih keluar pada masa hadapan
pelepasan DACS.
-cipta
Buat akaun untuk nama pengguna, yang semestinya belum wujud. Dalam aspek lain ia
berfungsi seperti -set[32]. Apabila membuat akaun baharu, -bersiri diperlukan dan -kunci is
tersirat. Jika tidak -membolehkan bendera disediakan semasa membuat akaun, -lumpuhkan tersirat.
Jika tidak -kaunter bendera disediakan, lalai sifar digunakan. Jika salah satu bendera PIN ialah
hadir, PIN yang diberikan akan diberikan kepada akaun, jika tidak, akaun tidak akan
mempunyai PIN (atau PIN sedia ada tidak akan ditukar).
-semasa
Paparkan faktor pergerakan semasa (iaitu, nilai pembilang untuk HOTP atau selang
nilai untuk TOTP) dan jangkaan OTP untuk nama pengguna. Untuk HOTP, kaunter adalah maju. Semua
parameter diambil dari akaun.
-hapuskan
Padamkan akaun untuk nama pengguna. Kunci rahsia peranti dan operasi lain
parameter akan hilang.
-delpin
Padamkan PIN, jika ada, pada akaun untuk nama pengguna, meninggalkan akaun tanpa a
PINE.
-eksport
Tulis maklumat tentang semua akaun, atau hanya satu akaun jika nama pengguna diberikan, kepada
stdout. Jika mod dipilih, walau bagaimanapun, hanya akaun yang mempunyai mod itu akan dipilih
bertulis. Maklumat ini boleh dimuat semula menggunakan -import or -import-ganti. Keluaran
hendaklah disimpan dalam bentuk yang disulitkan, atau sekurang-kurangnya mempunyai kebenaran failnya
ditetapkan dengan sewajarnya. Sebagai contoh:
% dacstoken -uj CONTOH -eksport | openssl enc -aes-256-cbc > dacstoken-exported.enc
Kemudian, anda mungkin melakukan sesuatu seperti:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj CONTOH -import -
-h
-membantu
Paparkan mesej bantuan dan keluar.
-hotp-show num
paparan num kata laluan HOTP berturut-turut daripada nilai dan kunci pembilang yang diberikan. The
-kaunter flag boleh digunakan untuk menentukan nilai pembilang awal. Kuncinya boleh
ditentukan menggunakan -kunci, -kunci-fail, Atau -key-prompt. Sekiranya nama pengguna disediakan, yang
nilai pembilang awal dan kunci diperoleh daripada akaun HOTP pengguna, melainkan sama ada
nilai diganti pada baris arahan; nilai kaunter tersimpan akaun tidak
diubahsuai. Ini terutamanya bertujuan untuk tujuan penyahpepijatan.
-import nama fail
-import-ganti nama fail
Muatkan maklumat akaun dan token daripada nama fail; sekiranya nama fail ialah "-", stdin dibaca.
Jika mod dipilih, hanya akaun yang mempunyai mod itu akan dibaca. Dengan -import ia adalah
ralat jika akaun yang diimport sudah wujud dan pemprosesan berhenti; -import-ganti
akan menggantikan akaun sedia ada dengan data yang diimport.
-l
- senarai
-panjang
If nama pengguna disediakan, paparkan maklumat tentang akaun yang sepadan; jika
-bersiri bendera diberikan, paparkan maklumat tentang akaun dengan siri yang ditentukan
nombor; jika tidak senaraikan semua akaun. Sekiranya -mod bendera diberikan dalam mana-mana kes ini,
walau bagaimanapun, senaraikan hanya akaun yang mempunyai mod operasi yang ditentukan. Jika ini
bendera diulang, atau dengan -panjang bendera, butiran lanjut dipaparkan: jenis peranti,
status akaun, nombor siri peranti, nilai kaunter (untuk HOTP), nilai drift jam (untuk
TOTP), sama ada akaun itu mempunyai PIN atau tidak (ditandakan dengan simbol "+" atau "-"), dan
masa dan tarikh pengubahsuaian terakhir akaun.
-menamakan semula nama pengguna baharu
Namakan semula akaun sedia ada untuk nama pengguna menjadi nama pengguna baharu, dan ubah suai yang baharu
akaun menggunakan argumen baris arahan (seperti dengan -set[32]). Kerana ini memerlukan dua langkah
yang tidak dilakukan secara atom, jika ralat berlaku adalah mungkin untuk akaun baharu itu
diwujudkan dan akaun lama masih wujud.
-set
. -set flag digunakan untuk mengubah suai akaun sedia ada untuk nama pengguna berdasarkan satu atau lebih
hujah pengubah suai (-pangkalan, -kaunter, -digit, -lumpuhkan or -membolehkan, -kunci (Atau -kunci-fail
or -key-prompt), -Pin (Atau -pin-fail or -pin-prompt), atau -bersiri). Mod juga boleh
diubah dengan menyatakan -mod, tetapi parameter khusus mod yang dikaitkan dengan akaun
akan hilang (cth, nilai kaunter semasa akan dipadamkan jika akaun HOTP adalah
ditukar kepada akaun TOTP) dan parameter umum (seperti nombor siri) akan
dikekalkan melainkan diganti pada baris arahan.
-segerak senarai kata laluan
Dalam mod HOTP, ini cuba menyegerakkan pelayan dengan token untuk nama pengguna. Yang
senarai kata laluan ialah senarai dipisahkan koma bagi tiga kata laluan berturut-turut yang dihasilkan oleh
token pengguna (fungsi "auto-segerak" ini juga tersedia melalui
local_token_authenticate[3]). Urutan yang diberikan mesti sepadan dengan urutan yang dikira
sebenarnya, memandangkan parameter operasi yang berkuat kuasa; cth, sifar pendahuluan ialah
ketara, seperti jejari paparan dan bilangan digit OTP yang berkuat kuasa. Jika
penyegerakan berjaya, pengguna seharusnya dapat mengesahkan menggunakan yang seterusnya
kata laluan yang dihasilkan oleh peranti. Algoritma carian lengkap menggunakan peningkatan
nilai pembilang digunakan, dengan had masa kompilasi pada bilangan maksimum
pengiraan. Carian bermula pada nilai kaunter yang disimpan semasa pelayan, melainkan
satu disediakan menggunakan -kaunter. Jika tidak berjaya, operasi ini boleh mengambil masa yang lama
sebelum ia tamat; pengguna mesti menghubungi pentadbir untuk mendapatkan bantuan.
Dalam mod TOTP, cuba tentukan seberapa rapat jam sistem disegerakkan
jam token dan memaparkan hasilnya. Maklumat ini boleh digunakan untuk mengemas kini
rekod token pengguna untuk mengimbangi jam yang tidak disegerakkan, atau untuk melaraskan
parameter pengesahan. Kunci token dan nama algoritma digest ialah
diperoleh untuk rekod token kepunyaan nama pengguna, jika ia diberikan; sebaliknya kunci
digesa dan algoritma digest untuk digunakan sama ada diperoleh daripada arahan
baris atau lalai. Hanya kata laluan pertama masuk senarai kata laluan digunakan. The
-totp-langkah masa, -digit, dan -totp-asas pilihan adalah berkesan semasa operasi ini.
-test
Lakukan beberapa ujian kendiri, kemudian keluar. Status keluar bukan sifar bermakna ralat telah berlaku.
-totp-tunjukkan num
Paparkan urutan kata laluan TOTP menggunakan parameter yang sedang berkuat kuasa:
saiz selang (-totp-langkah masa), bilangan digit (-digit), dan asas (-pangkalan). The
parameter disimpan akaun tidak diubah suai. Ini terutamanya bertujuan untuk penyahpepijatan
tujuan.
Jika nama pengguna disediakan (ia mesti dikaitkan dengan peranti TOTP), kunci dan
parameter tersimpan lain daripada akaun digunakan melainkan ditindih oleh baris arahan
bendera. Urutan kata laluan untuk num selang sebelum dan selepas masa semasa,
bersama-sama dengan kata laluan untuk masa semasa dicetak.
Jika tidak nama pengguna diberikan, program meminta kunci (yang digemakan) dan digunakan
bendera baris arahan atau nilai lalai untuk parameter. Ia kemudian mengeluarkan kata laluan TOTP
untuk masa semasa setiap kali Return/Enter ditekan. Menaip EOF menyebabkan serta-merta
penamatan.
-sahkan otp-nilai
If otp-nilai ialah kata laluan satu kali yang dijangkakan seterusnya, kembalikan status keluar sifar kepada
menunjukkan kejayaan; sebarang nilai lain menunjukkan kegagalan. Jika nama pengguna diberikan, parameter
untuk pengesahan, termasuk kunci, diperoleh daripada akaun itu melainkan jika ditindih pada
baris arahan. Keadaan pelayan tidak berubah; cth, kaunter HOTP tidak
maju. Jika tidak nama pengguna diberikan, iaitu -mod bendera mesti digunakan dan parameter
yang diperlukan untuk mod itu mesti diberikan, termasuk kunci. Untuk mod HOTP, nilai pembilang
mesti disediakan. Untuk mod TOTP, parameter baris arahan berkesan semasa ini
pengesahan. dacstoken akan menguji sama ada otp-nilai mengesahkan terhadap parameter dalam
kesan.
Berikut perubahan bendera difahami:
-semua
Dengan -set dan tidak nama pengguna, gunakan perubahan pada semua akaun. Ini boleh digunakan untuk
dayakan atau lumpuhkan semua akaun, contohnya. The -inkeys and -outkeys bendera adalah
dihormati. Jika ralat berlaku pemprosesan berhenti serta-merta, dalam hal ini hanya beberapa
akaun mungkin telah diubah suai.
-pangkalan num
Penggunaan num sebagai asas (radix) apabila memaparkan OTP. Nilai num adalah terhad kepada
10 (lalai), 16, Atau 32.
-kaunter num
Ini ialah nilai pembilang HOTP 8-bait untuk ditetapkan, dinyatakan sebagai nilai heks jika didahului oleh
dengan "0x" (atau "0X"), perpuluhan sebaliknya. Sifar pendahuluan mungkin dihapuskan. Ini membayangkan HOTP
mod. Untuk peranti token, anda tidak boleh menetapkan semula pembilang (modulo counter
limpahan) kerana itu akan mengakibatkan urutan kata laluan diulang, dengan andaian
bahawa kunci tidak diubah; pelaksanaan perisian mungkin tidak mempunyai sekatan ini,
walau bagaimanapun, jadi berhati-hati dengan implikasi keselamatan.
-digit num
Penggunaan num digit apabila memaparkan OTP. Nilai num adalah terhad kepada 6, 7, 8 (Yang
lalai), atau 9 dengan asas 10. Ia terhad kepada 6 dengan asas 32 dan diabaikan dengan
asas 16 (keluaran heks).
-lumpuhkan
Lumpuhkan akaun untuk nama pengguna. Yang local_token_authenticate modul, dan -auth and
-sahkan bendera, tidak akan membenarkan pengguna untuk mengesahkan sehingga akaun telah
didayakan, walaupun operasi lain masih boleh dilakukan pada akaun. Jika -membolehkan
digunakan kemudiannya, akaun tersebut akan menjadi boleh digunakan untuk pengesahan dan
dipulihkan kepada keadaannya pada masa ia dilumpuhkan. Ia bukan satu kesilapan untuk melumpuhkan a
akaun sudah dilumpuhkan.
-membolehkan
Dayakan akaun untuk nama pengguna. Yang local_token_authenticate modul akan membenarkan
pengguna untuk mengesahkan. Ia bukan satu ralat untuk mendayakan akaun yang telah didayakan.
-tetingkap hotp num
Jika kata laluan HOTP yang dijangkakan tidak sepadan dengan kata laluan yang diberikan, cuba padankan sehingga
num kata laluan selepas kata laluan yang dijangkakan dalam urutan. Nilai sifar untuk num
melumpuhkan carian ini.
-inkeys jenis barang
Untuk menyahsulit kunci rahsia, gunakan kedai yang dikenal pasti oleh jenis barang, agaknya
dikonfigurasikan dalam dacs.conf.
-kunci keyval
Penggunaan keyval sebagai kunci rahsia, dinyatakan sebagai rentetan digit heks.
Keselamatan
Membekalkan kunci pada baris arahan tidak selamat kerana ia mungkin boleh dilihat oleh
proses lain.
-kunci-fail nama fail
Baca kunci rahsia, dinyatakan sebagai rentetan digit heksagonal, daripada nama fail. Jika nama fail is
"-", kunci dibaca daripada stdin.
-key-prompt
Gesa untuk kunci rahsia, dinyatakan sebagai rentetan digit heks. Input tidak bergema.
-mod mod otp
Ini menentukan (secara tidak sensitif huruf) jenis token (mod peranti OTP) untuk digunakan
bersama -set, -cipta, dan operasi pengesahan dan penyegerakan. The mod otp mungkin
sama ada kaunter atau hotp untuk mod kaunter, atau masa atau totp untuk mod berasaskan masa. ini
bendera diperlukan semasa membuat akaun baharu.
-outkeys jenis barang
Untuk menyulitkan kunci rahsia, gunakan kedai yang dikenal pasti oleh jenis barang, mungkin ditakrifkan
dalam dacs.conf.
-Pin pinval
Penggunaan pinval sebagai PIN rahsia untuk akaun tersebut.
Keselamatan
Membekalkan PIN pada baris arahan tidak selamat kerana ia mungkin boleh dilihat oleh
proses lain.
-pin-kekangan str
Daripada menggunakan PASSWORD_CONSTRAINTS[14], gunakan str (mempunyai sintaks yang sama dan
semantik) untuk menerangkan keperluan untuk PIN.
Nota
Keperluan untuk PIN dikenakan pada PIN yang diperoleh melalui bendera baris arahan dan kepada PIN tersebut
diperoleh melalui pengimportan (menggunakan atribut "p"). Keperluan tidak
"retroaktif", walau bagaimanapun, jadi menukar keperluan tidak menjejaskan PIN bagi
akaun sedia ada atau akaun pengimport yang sebelum ini dieksport (mempunyai a
atribut "ph").
-pin-fail nama fail
Baca PIN rahsia daripada nama fail. Jika nama fail ialah "-", PIN dibaca daripada stdin.
-pin-prompt
Minta PIN rahsia. Input tidak bergema.
-rnd
Ditempah untuk kegunaan masa depan.
-benih str
Ditempah untuk kegunaan masa depan.
-bersiri str
Nombor siri, str, ialah pengecam unik (kononnya) yang diberikan kepada token.
Pilihan ini digunakan dengan -set, -cipta, dan - senarai bendera. Nombor siri
mengenal pasti peranti OTP tertentu dan tidak perlu dirahsiakan. Harta keunikan
dikuatkuasakan dalam unit penyimpanan jenis item; iaitu nombor siri semua HOTP
peranti mestilah unik, nombor siri semua peranti TOTP mestilah unik, dan jika
akaun untuk kedua-dua jenis peranti digabungkan, semua nombor siri peranti mestilah
unik. Sebarang rentetan boleh cetak diterima. Jika pelanggan perisian sedang menjana
kata laluan, anda boleh menggunakan nombor siri peranti, atau memilih mana-mana deskriptif yang sesuai
rentetan belum diberikan kepada peranti.
Nota
Bidang kuasa yang membenarkan (atau mungkin akhirnya membenarkan) kedua-dua token perkakasan dan
aplikasi klien yang menjana perisian harus mempertimbangkan untuk menerima pakai aplikasi rasmi
skema penamaan untuk tokennya. Sebagai contoh, pentadbir mungkin menambahkan "-hw" pada
nombor siri vendor untuk membentuk dacstoken nombor siri. Untuk perisian
token, pentadbir mungkin membuat a dacstoken nombor siri dengan melampirkan
"-sw" ke nombor siri vendor untuk peranti.
-totp-delta num
Laraskan masa asas dengan num selang (setiap bilangan saiz langkah saat) apabila
mengira TOTP. The num mungkin negatif, sifar, atau positif. Ini digunakan untuk membetulkan
untuk jam yang tidak disegerakkan dengan secukupnya.
-totp-hanyut nwindows
Untuk TOTP, gunakan saiz tetingkap sebanyak nwindows (dari segi saiz selang) untuk
pengesahan. Jika nwindows is 0, nilai TOTP yang dikira mesti sepadan dengan yang diberikan
betul-betul. Jika nwindows is 1, Sebagai contoh, dacstoken akan cuba memadankan TOTP yang diberikan
nilai dalam selang sebelumnya, semasa dan seterusnya. Ini membolehkan jam dalam
sistem berjalan dacstoken (Atau local_token_authenticate) dan peranti pengeluar token kepada
kurang disegerakkan dengan baik.
Keselamatan
Walaupun ia mengimbangi jam yang tidak disegerakkan dengan baik, meningkatkan nilai
nwindows melemahkan sistem dengan memanjangkan hayat kata laluan sekali sahaja.
-totp-hash alga
Penggunaan alga sebagai algoritma penghadaman dengan TOTP. Nilai alga terhad kepada (kes
secara tidak sensitif) SHA1 (lalai), SHA256 atau SHA512.
-totp-langkah masa secs
Penggunaan secs sebagai saiz selang semasa mengira TOTP. Ia mestilah lebih besar daripada sifar. The
lalai adalah 30 saat.
Keselamatan
Walaupun ia mengimbangi jam yang tidak disegerakkan dengan baik, meningkatkan nilai
secs melemahkan sistem dengan memanjangkan hayat kata laluan sekali sahaja.
-vfs vfs_uri
Penggunaan vfs_uri untuk mengatasi VFS[33] arahan konfigurasi berkuat kuasa. Ini boleh jadi
digunakan untuk mengkonfigurasi atau mengkonfigurasi semula auth_token, auth_hotp_token, atau auth_totp_token kepada
nyatakan kaedah penyimpanan untuk akaun yang diambil tindakan.
Selain daripada mesej ralat, yang dicetak kepada ralat standard, semua output pergi ke
keluaran standard.
Biasanya, a dacsoption akan ditentukan untuk memilih bidang kuasa bagi pihak yang
akaun sedang diuruskan.
CONTOH
Contoh-contoh ini menganggap bahawa nama bidang kuasa untuk digunakan ialah EXAMPLE dan persekutuannya
domain ialah example.com.
Untuk menggunakan kaedah pengesahan ini, a DACS pentadbir mungkin melakukan langkah berikut
untuk setiap peranti OTP yang diberikan kepada pengguna:
1. Dapatkan token yang disokong, semak cara ia digunakan untuk pengesahan dan pilih nilai
untuk pelbagai parameter. Dapatkan kunci rahsia untuk peranti daripada vendor; untuk
peranti boleh atur cara, pilih kunci rawak yang sesuai dan atur cara ke dalam peranti.
Nilai kaunter semasa mungkin juga diperoleh daripada vendor, walaupun begitu
berkemungkinan dimulakan kepada sifar; untuk peranti boleh atur cara, tetapkan nilai pembilang kepada
sifar. Tentukan sama ada PIN diperlukan (lihat TOKEN_REQUIRES_PIN[9]). Jika perisian
pelanggan sedang digunakan, pasang perisian pada peranti pengguna (atau minta pengguna melakukannya
jadi), dan konfigurasikan perisian.
2. Tentukan di mana maklumat akaun akan disimpan dan, jika perlu, tambahkan yang sesuai
VFS[33] arahan kepada dacs.conf. Lalai (terdapat dalam site.conf) mengekalkan akaun
maklumat dalam fail bernama auth_tokens dalam setiap bidang kuasa lalai peribadi
kawasan:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURIDICTION_NAME}/auth_tokens"
3. Hasilkan kunci untuk menyulitkan maklumat akaun (lihat Tokens and rahsia kunci[34]) dan
tentukan di mana ia akan disimpan; contohnya (ID pengguna anda, ID kumpulan, laluan,
nama bidang kuasa dan domain persekutuan mungkin berbeza-beza):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj CONTOH -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Jika perlu, tambah yang sesuai VFS[33] arahan kepada dacs.conf; lalai, iaitu
digunakan di atas, mengekalkan maklumat akaun dalam fail bernama auth_token_keys dalam
kawasan persendirian lalai setiap bidang kuasa:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURIDICTION_NAME}/auth_token_keys"
4. Jika anda memerlukan pengguna untuk mendaftar melalui dacs_authenticate(8)[2], anda mesti mengkonfigurasi a
Klausa Auth yang sesuai dalam dacs.conf, sebagai contoh:
URL "token"
GAYA "lulus"
KAWALAN "cukup"
5. Terdapat beberapa cara yang mungkin dilakukan oleh pentadbir, bergantung pada jumlah
usaha itu boleh dilakukan oleh pengguna (cth, sama ada mereka boleh dipercayai, teknikal mereka
keupayaan), berapa ramai pengguna yang ada (beberapa, atau beribu-ribu), dan tahap keselamatan
diperlukan.
1. sediakan fail yang mengandungi an XML rekod[35] untuk setiap akaun yang akan dibuat; jika
PIN akan digunakan, tetapkan PIN rawak kepada setiap akaun;
2. menggunakan -import[36] bendera untuk mencipta akaun;
3. berikan peranti token, nama pengguna dan (jika perlu) PIN awal kepada pengguna
(mungkin mengesahkan identiti), menyediakan sebarang demonstrasi yang diperlukan dan
arahan;
4. minta pengguna menetapkan atau menetapkan semula PIN untuk akaun tersebut dan minta pengguna untuk mendaftar
menggunakan token untuk mengesahkan operasi yang betul.
Untuk membuat akaun yang dilumpuhkan untuk bobo pengguna untuk peranti HOTP:
% dacstoken -uj CONTOH -mod hotp -siri 37000752 -kunci-fail bobo.key -buat bobo
Kunci rahsia untuk akaun (yang mesti belum wujud) dibaca daripada fail
bobo.key. Akaun baharu dilumpuhkan secara lalai; guna -membolehkan untuk membuat akaun yang didayakan.
Setelah akaun telah dibuat, ia boleh disegerakkan dengan token. Untuk menyegerakkan
token HOTP untuk bobo pengguna:
% dacstoken -uj CONTOH -segerak 433268,894121,615120 bobo
Dalam contoh ini, token tertentu menghasilkan tiga kata laluan berturut-turut 433268,
894121 dan 615120. Ambil perhatian bahawa rentetan urutan kata laluan yang mengikuti -segerak bendera adalah
satu hujah yang tidak boleh mempunyai sebarang ruang terbenam. Jika kunci untuk token ini ialah
19c0a3519a89b4a8034c5b9306db, kata laluan seterusnya yang dijana oleh token ini hendaklah 544323
(dengan nilai balas 13). Ini boleh disahkan menggunakan -hotp-show:
% dacstoken -hotp-show 5 -kaunter 10 -kunci 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
Untuk mendayakan akaun bobo pengguna:
% dacstoken -uj CONTOH -dayakan -set bobo
Untuk menetapkan PIN dan mendayakan akaun untuk bobo pengguna:
% dacstoken -uj CONTOH -dayakan -pin "CzAy" -set bobo
Untuk menyenaraikan semua akaun secara terperinci:
% dacstoken -uj CONTOH -panjang
. - senarai flag adalah berlebihan kerana ia adalah operasi lalai. The -mod, -kaunter, Dll
pengubah suai tidak mempunyai kesan apabila menyenaraikan.
Untuk menyenaraikan hanya akaun untuk bobo:
% dacstoken -uj CONTOH -senarai bobo
Status keluar akan menjadi bukan sifar jika pengguna ini tidak mempunyai akaun.
Untuk memaparkan akaun untuk peranti dengan nombor siri 37000752:
% dacstoken -uj CONTOH -siri 37000752
Nombor siri, yang sepatutnya mengenal pasti token secara unik, selalunya dicetak pada token
atau boleh dipaparkan dengan token.
Untuk menetapkan nilai pembilang untuk akaun bobo yang sedia ada:
% dacstoken -uj CONTOH -kaunter 9 -set bobo
Operasi ini mungkin digunakan untuk ujian atau dengan token perisian. The -segerak operasi ialah
lebih sesuai untuk token perkakasan.
Untuk menukar PIN untuk nama pengguna bobo:
% dacstoken -uj CONTOH -pin-prompt -set bobo
Program ini akan meminta PIN baharu.
Untuk menggunakan fail akaun ganti, /secure/auth_tokens:
% dacstoken -uj CONTOH -vfs "dacs-kwv-fs:/secure/auth_tokens" -senarai
Untuk menggunakan kekunci baharu (membuat andaian yang sama seperti sebelumnya), tambahkan arahan VFS yang sesuai kepada
dacs.conf; lalai mentakrifkan jenis item auth_token_keys_prev seperti berikut:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURIDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj CONTOH -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj CONTOH -inkeys auth_token_keys.prev -set
DIAGNOSTIK
Program keluar dari 0, atau 1 jika ralat berlaku.
Gunakan dacstoken dalam talian menggunakan perkhidmatan onworks.net
